ARP溢出攻击
ARP溢出攻击的特征主要有:
(1)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的,由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时,就会在缓存表中创建一个对应MAC-IP的入口项。
(2)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表,将各端口和端口所连接主机的MAC地址的对应关系进行记录,因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包,就会破坏端口与MAC的对应关系,并导致CAM表溢出。在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。
ARP欺骗原理
假如主机A要与目的主机B进行通信,为了查找与目的主机IP地址相对应的MAC地址,主机A使用ARP协议来查找目的主机B的MAC地址。首先,源主机A会以广播的形式发送一个ARP请求数据包给以太网上的每一台主机,这个过程称为ARP广播。而在接收到ARP广播的所有计算机中,只有具有目的主机IP地址的主机B收到该广播报文后,才会向源主机A回送一个包含其MAC地址的应答,这样一次正常的地址解析过程就完成了。为了尽量减少网络中ARP广播请求的次数,每台主机都拥有一个ARP缓存,这个缓存存放了自主机启动以来所有的IP地址与MAC地址之间的映射记录。主机每隔一定时间或者每当收到ARP应答,都会用新的地址映射记录对ARP缓存进行更新,以保证自己拥有最新的地址解析缓存。
使用ARP -A命令查看PC上的ARP缓存表